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5 

Verfahren zur sicheren Oberprufung eines Speicherbereiches ei- 
nes Mikrocontrollers in einem Steuergerat und Steuergerat mit 
einem qeschutzten Mikrocontroller 

10 

STAND DER TECHNIK 



Die Erfindung betrifft ein Verfahren zur Steuerung eines Mik- 

•pocontrollers in einem Steuergerat in einem Kraf tf ahrzeug mit 
einem Rechnerkern, wenigstens einem Nur-Lese-Speicherbereich 
und wenigstens einem wiederbeschreibbaren Speicherbereich, wo- 
bei in dem wiederbeschreibbaren Speicherbereich zumindest ein 
Steuerprogramm gespeichert ist, welches zur Verarbeitung durch 
den Rechnerkern vorgesehen ist. 

20 

Weiterhin bezieht sich die Erfindung noch auf ein derartiges 
Steuergerat fur ein Kraf tf ahrzeug mit einem Mikrocontroller. 

Als Kraf tfahrzeuge werden hier Fahrzeuge mit einer Brennkraft- 
V jMmaschine, welche mittels Steuergraten steuerbar ist, im wei- 
^l^testen Sinn verstanden. Derartige Steuergerate werden in der 

Fahrzeugtechnik fur vielfaltige Funktionen verwendet, wie bei- 
spielsweise als Motorsteuergerat . Dabei wird zum Beispiel beim 
Chip-Tuning von Motorsteuergeraten haufig der nicht-f IQchtige, 
30 aber mehrfach beschreibbare Speicher (z.B. Flash) manipuliert. 
Die dort gespeicherten Daten werden so verandert, dass eine 
hohere Motorleistung erreicht wird. Aus dem Stand der Technik 
sind auch Verfahren zur Steuerung der Mikrocontroller bekannt, 
die Oberpruf ungsroutinen beim Start und/oder wahrend der Lauf- 
35 zeit des Steuergerateprogramms aktivieren. Daruber hinaus wer- 
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den derartige Steuergerate auch zur Steuerung von Getrieben 
oder ABS-Systemen eingesetzt. 

Aus der deutschen Of f enlegungsschrif t DE 197 53 730 ist ein 
Verfahren und eine Vorrichtung zum Steuern einer Brennkraf tma- 
schine bekannt. Die Vorrichtung umfasst wenigstens einen Mik- 
roprozessor, wenigstens einen programmierbaren Speicher und 
einen wieder beschreibbaren Speicher. In dem wiederbeschreib- 
baren Speicher sind Programme und/oder Daten abgelegt, die vom 
Mikroprozessor verarbeitet werden. Die Programme werden erst 
nach einer Prufung abgearbeitet . Nimmt der Inhalt eines pro- 
grammierbaren Speichers einen. ersten Wert an, wird das Pro- 

ramm ohne weitere Prufung abgearbeitet, anderenfalls erfolgt 
wenigstens eine weitere Prufung. Mit diesem Verfahren soil er- 
15 reicht werden, dass ein Datensatz, der veranderte Daten 

und/oder Programme enthalt, oder der nicht vom Steuergerate- 
hersteller freigegeben wurde, auf einem Seriensteuergerat 
lauffahig ist. Gleichzeitig soli der Kraf tfahrzeughersteller 
die Moglichkeit haben, Steuergerate zu applizieren, dass 
heifit, Datensatze in einzelnen Steuergeraten zu verandern, 
ohne dass er Kenntnis von den Priifungen hat. Problematisch ist 
hierbei der Schutz des Inhaltes des programmierbaren Spei- 
chers . 




20 



n der DE 197 23 332 Al wird ein Verfahren zum Schutz eines 
Mikrorechners gegen Manipulation seines Programms und ein der- 
art geschutzter Mikrorechner beschrieben. Der Mikrorechner 
weist einen Rechnerkern, einen nur Lesespeicher und einen wie- 
derbeschreibbaren Speicher auf. Im nur Lesespeicher ist ein 
Oberprufungsprogramm gespeichert, das mittels eines Schliissels 
aus dem Speicherinhalt des wiederbeschreibbaren Speichers ein 
Codewort bildet. Das Codewort wird dann mit einem Vergleichs- 
codewort verglichen, das ebenfalls im wiederbeschreibbaren 
Speicher abgelegt ist. In Abhangigkeit von diesem Vergleich 
35 wird der Mikrorechner gesperrt oder freigegeben. 



30 
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Bei den bekannten Verfahren ist auch bei Verwendung eines ge- 
schiitzten, internen Flashbereich nur ein Schutz moglich, wenn 
die Anwendung nur diesen und keinen externen Speicher beno- 
tigt. Da die Anwendungen jedoch meist einen externen Speicher 
verwenden, wirkt der eingebaute Manipulationsschutz in diesen 
Anwendungen nicht - bzw. ist zu umgehen. Weiterhin ist eine 
Manipulation der OberprUf ungsroutinen dann moglich, wenn 
Controller ohne internen, geschiitzten Speicher eingesetzt wer- 
den. Im einfachsten Fall wird der Aufruf dieser Routinen ver- 
hindert . 



15 



20 



J*pfenn dagegen diese Oberpriif ungsroutinen in einem nicht ander- 
* baren Bereich im Controller abgelegt werden (z.B. ROM), so be- 
deutet dies zum einen eine Kostensteigerung, zum anderen eine 
geringere Flexibility in der Wahl der Algorithmen. AuJlerdem 
ist dabei auch oft ein ROM in der entsprechenden Controller- 
technologie nicht realisierbar . Selbst wenn ein ROM verfugbar 
ist, bleiben die Probleme, die grundsatzlich bei der Verwen- 
dung eines groften ROM-Bereiches zu beachten sind. Eine Ande- 
rung des Programmcodes ist sehr teuer, da jeweils neue Mas ken 
erforderlich sind. Wenn Code geandert werden muss, dauert es 
mindestens 4 Monate, bis der neue Code im Projekt einsetzbar 
st (Liniendurchlaufzeit) . Bei einem kundenspezif ischen Code 
enotigt entweder jeder Kunde sein eigenes ROM, oder das ROM 
muss entsprechend vergro/Sert werden. Beides fuhrt zu Mehrkos- 
ten, die nicht im Interesse des Kunden und des Halbleiterher- 
stellers liegen. Auch hier ist ungeldst, wie die Ausftihrung 
des Codes erzwungen werden kann. 

30 

Die Problematik, die der vorliegenden Erfindung zugrunde 
liegt, besteht daher darin, ein Verfahren zur Oberpriifung von 
Speichern eines Mikrocontrollers in einem Steuergerat zu 
schaffen, welches besser gegen unerlaubte Eingriffe schutzt. 
35 Weiterhin besteht die Aufgabe darin, bei einem Mikrocontroller 
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■ in einem Steuergerat die unerlaubte Manipulation von Speicher 
inhalten wirkungsvoller zu verhindern. 

VORTEILE DER ERFINDUNG 

Das erf indungsgemafie Verfahren umfasst die folgenden Schritte 
Speicherung eines Oberprufungsprogramms in einem einmal be- 
schreibbaren Speicherbereich des wiederbeschreibbaren Spei-. 
cherbereiches, Speicherung eines Serviceprogramms im Nur- 
Lese-Speicherbereich, Aufruf des Serviceprogramms durch das 
Steuerprogramm in regelmaiiigen Abstanden, Aufruf des Oberpru- 
fungsprograrams durch das Serviceprogramm, Rucksetzen eines 
.ahlers durch das Serviceprogramm bei Aufruf durch das Steuer 
programm, Oberprtifen wenigstens eines Teiles des wiederbe- 
15 schreibbaren Speicherbereiches durch das (Jberpruf ungsprogramm 
Auslosen eines RESET durch das Oberprtif ungsprogramm bei Mani- 
pulation des uberprtiften Speicherbereiches oder durch den Zah 
ler bei Oberlauf des Zahlers. 

20 Das erfindungsgemafie Verfahren zeichnet sich dadurch aus, das 
die Codesequenz zur Oberprufung des Speichers (das Oberpru- 
fungsprogramm) im nur einmal beschreibbaren Speicher nicht ma- 

•nipuliert werden kann. Ein solcher nur einmal beschreibbarer 
Bpeicherbereich kann zum Beispiel im vorhandenen, internen 
wiederbeschreibbaren Speicher (Flash) realisiert werden. Eini- 
ge Mikrocontroller besitzen beispielsweise einen Passwort- 
schutz auf Teile des internen Flash . Zum anderen wird beim 
Verfahren gemafi der Erfindung auch die Ausfuhrung dieser Code- 
sequenz wirkungsvoll sichergestellt . Im jeweiligen Steuerpro- 
30 gramm des Steuergerates muss in regelmafiigen AbstSnden, die 

einstellbar sein konnen, ein Aufruf des Oberpruf ungsprogramms 
enthalten sein. Das OberprOf ungsprogramm wird mittels eines 
Serviceprogramms aufgerufen, welches im Nur-Lese-Speicher ge- 
speichert ist. Dieses Serviceprogramm ist somit vor unerlaub- 
35 ten Eingriffen und Manipulationen geschutzt. 
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Dieses Serviceprogramm muss regelmafiig aufgerufen werden, da 
anderenfalls ein Zahler, der mittels einer Taktversorgung un- 
beeinflussbar, kont inuierlich lauft, einen Uberlauf signali- 
5 siert. Der Zahler kann nicht angehalten werden, und nur durch 
den Aufruf des Serviceprogramms zuruckgeset zt werden. Erreicht 
der Zahler vor dem Aufruf des Serviceprogramms einen Oberlauf, 
erzeugt der Zahler einen RESET des Mikrocon'trollers . 

10 Der Zahler kann als separater Zahlerbaustein mit einer eigenen 
Taktversorgung realisiert werden, der in einem geschutzten Be- 

•reich innerhalb des Mikrocontrollers oder im Steuergerat ange- 
rdnet ist. Ebenso ist bei geeigneten Mikrocontrollern eine 
programmtechnische Implementierung denkbar. Der Oberlauf des 
15 Zahlers kann beispielsweise durch Erreichen des Zahlerendes 

ausgelost werden. Der Zeitpunkt des Erreichens des Dberlaufes 
bestimmt den zeitlichen Abstand, nach dem das Serviceprogramm 
wieder aufgerufen werden muss, ohne dass der Zahler ein RESET 
auslost. Zur Einstellung eines Zeitpunktes wird ein Zahler mit 
20 einem. entsprechenden Z&hlerende gewahlt oder ein Zahlerstand 

eingestellt, der bei Erreichen ebenfalls ein Oberlauf signal!- 
siert. Bei Aufruf des Serviceprogramms durch das Steuerpro- 

•gramm wird zum einen das Oberpruf ungsprogramm aufgerufen und 
feum anderen der Zahler zuriickgesetzt . 

Das RESET kann beispielsweise darin bestehen, dass das Steuer- 
gerat abgeschaltet wird oder mit einem Datensatz betrieben 
wird, der noch eine eingeschrankte Funktion erlaubt. Dabei 
kann auch gleichzeitig noch ein entsprechendes Signal an ande- 
30 re Steuergerate abgegeben werden. Insbesondere ist es sinn- 

voll, ein Warnsignal auszugeben, welches eine Aufforderung zur 
Reparatur des Fahrzeuges in einer Werkstatt auslost. 



Des weiteren wird die Aufgabe der Erfindung noch durch ein 
Steuergerat fur ein Kraf tf ahrzeug mit einem Mikrocontroller 
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gelost, bei dem ein einmal beschreibbarer Speicherbereich des 
wiederbeschreibbaren Speicherbereiches zur Speicherung eines 
Oberpruf ungsprogramms vorgesehen ist, der Nur-Lese- 
Speicherbereich zur Speicherung eines Serviceprogramms vorge- 
5 sehen ist, der Rechnerkern in regelmafiigen Abstanden das Ser- 
viceprogramm nach Aufruf durch das Steuerprogramm verarbeitet, 
der Rechnerkern das Oberpruf ungsprogramm nach Aufruf durch das 
Serviceprogramm verarbeitet, ein Zahler vorgesehen ist, der 
durch das Serviceprogramm bei Aufruf durch das Steuerprogramm 

10 rucksetzbar ist, wenigstens ein Teil des wiederbeschreibbaren 
Speicherbereiches durch das Oberpruf ungsprogramm uberprufbar 

^^ist, ein RESET durch das Oberpruf ungsprogramm bei Manipulation 

W^W^ 3 uberpriiften Speicherbereiches Oder bei Oberlauf des Zah- 

^^lers auslosbar ist. 

15 

Besonders bevorzugte Ausgestaltungen der Erfindung sind auch 
noch in den abhangigen Anspruchen angegeben. 

ZEICHNUNGEN 

20 

Im folgenden wird ein Ausf uhrungsbeispiel der Erfindung anhand 
von zwei Zeichnungen naher erlautert. Dabei zeigen 

#igur 1: ein Blockdiagramm eines erf indungsgemafien Mikrocont- 
rollers fur ein Steuergerat und 

Figur 2: ein Ablauf diagramm des erf indungsgemaiien Verfahrens. 



BESCHREIBUNG DER AUSFOHRUNGSBEISPIELE 

30 

In der Figur 1 ist ein Mikrocontroller 1 fur ein Steuergerat 
gemali der Erfindung dargestellt. Er umfasst einen Rechnerkern 
2, einen Nur-Lese-Speicher 3, einen nur einmal beschreibbaren 
Speicher 4 und einen wiederbeschreibbaren Speicher 5. Das 
35 Steuergerat kann beispielsweise ein Motorsteuergerat zur Steu- 
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erung von Drosselklappe, einzuspritzencler Kraf tstof fmenge oder 
anderer GrofJen sein. Aber auch ein Steuergerat zur Steuerung 
eines Getriebes, ABS-Systems oder anderer Systeme im Kraft - 
fahrzeug ist ohne weiteres denkbar. Der Rechnerkern 1 ist ein 
ublicher Mikroprozessor zur Verarbeitung der gespeicherten 
Programme und Daten. Der Nur-Lese-Speicher oder ROM (Read Only 
Memory) 3 enthalt ein fest gespeichertes Programm, welches nur 
durch Austausch des ROM 3 geandert werden kann. In diesem 
Speicher ist in der Regel ein Minimalprogramrn abgelegt, wel- 
ches den Rechnerkern 1 in die Lage versetzt, Programme und Da- 
ten aus den weiteren Speichern zu verarbeiten. 



• 



15 



20 



er wiederbeschreibbare Speicher 5 ist meist als EPROM oder 
Flash-EPROM ausgefuhrt und enthalt veranderbare Programme und 
Daten des Steuergerates. Der nur einmal beschreibbare Speicher 
4 ist ein Speicherbereich des wiederbeschreibbaren Speichers 5 
(Flash), der durch ein Passwort geschutzt ist. In diesem Spei- 
cherbereich 4 ist eine Codesequenz gespeichert, welche die 
Aufgabe hat, die Code- und Datenbereiche des Mikrocontrollers 
1 zu uberprufen. Dieses Oberpruf ungsprogramm ergreift bei er- 
kannter Manipulation eine GegenmaJinahme, die meist im Auslosen 
eines RESET besteht. Dabei kann das AusmaB 'des RESET an die 
jeweils gewunschte GegenmalSnahme angepasst werden. Das Steuer- 

erat kann beispielsweise komplett abgeschaltet werden, was 
bei einem Motorsteuergerat zu einem sofortigen Stillstand des 
Fahrzeuges fOhrt. Oder das Steuergerat kann mit einer Minimal- 
konfiguration versorgt werden, so dass das Steuergerat funk- 
tionsbereit bleibt, jedoch zu einer vollstandigen Funktionsfa- 
higkeit eine Reparatur in einer Werkstatt erforderlich ist. 



30 



Die verschiedenen Speicherbereiche sind in der Figur 1 ge- 
trennt gezeichnet, wodurch jedoch nur ihre unterschiedliche 
Funktion gekennzeichnet werden soli. Es ist unter Wahrung der 
unterschiedlichen Funktionalitat moglich, die Speicherbereiche 
35 durch getrennte Bausteine oder in gemeinsamen Bausteinen zu 
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30 




realisieren. So kann insbesondere der Flash-Speicher 5 sowohl 
innerhalb des Mikrocontrollerbausteins realisiert sein, als 
auch als externer Speicherbaustein. 

In der Figur 2 ist der Ablauf des Verfahrens gemaB der Erfin- 
dung schematisch dargestellt. Die Bereiche A, B, C und D kenn- 
zeichnen die funktionell unterschiedlichen Speicherbereiche, 
in denen die jeweiligen Programme und Daten abgelegt sind. Im 
dargestellten Ausf uhrungsbeispiel beschreibt A einen Hardware- 
bereich im Mikrocontroller, B einen ROM-Bereich im Microcont- 
roller und C einen Flash-Bereich im Mikrocontroller, wahrend D 
einen externen Flash-Speicherbereich darstellt. 



Im externen Flash D ist als Anwendungscode ein Steuerprogramm 
15 fur das Steuergerat gespeichert. Das Programm enthalt im Code 
einen , CALL' -Bef ehl , mit dem ein Serviceprogramm aufgerufen 
wird, welches im ROM-Speicherbereich B des Mikrocontrollers 
abgelegt ist. Bei einem entsprechenden Entry-Code wird ein 
, SERVICE' im Serviceprogramm ausgelost. Dieses Serviceprogramm 
lost zwei Dinge aus, zum einen wird ein Zahler , COUNTER' zu- 
ruckgesetzt, der als Zahlerbaustein im Mikrocontroller A rea- 
lisiert ist. Der Zahlerbaustein ist mit einer Taktleitung ver- 

•bunden, so dass er unabhangig kontinuierlich lauf t . Bei Errei- 
khen eines maximalen Zahlerstandes wird ein Uberlauf signali- 
siert. Zum anderen wird gleichzeitig ein Sprung , JUMP' in ein 
Uberprufungsprogramm ausgelost; Dieses Uberprufungsprogramm 
ist als Codesequenz im nur einrnal beschreibbaren Speicherbe- 
reich im internen Flash gespeichert. Der interne Flash des 
Mikrocontrollers besitzt dazu einen Bereich, welcher durch ein 
Passwort geschutzt und damit nur einrnal beschreibbar ist. 



Das Uberprufungsprogramm uberpruft mindestens einen Teil des 
vom Mikrocontroller verwendeten Speichers mittels bekannter 
Priifmethoden, wie beispielsweise Checksummenbildung . Wenn an- 
35 hand der Uberprufung eine Manipulation an den gespeicherten 
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Daten und / oder Programmen festgestellt wird, wird ein RESET 
ausgelost. Wenn keine unerlaubte Veranderung festgestellt 
wird, wird mittels eines , RETURN' -Befehls wieder zum Steuer- 
programm zuriickgekehrt . 

Wenn der Zahler einen Oberlauf signalisiert , dass heiJit eine 
definierte Zeit abgelaufen ist, wird ebenfalls ein RESET aus- 
gelost. Dieses RESET kann wahlweise bedeuten, dass das Steuer- 
gerat komplett abgeschaltet wird oder das Steuergerat unter 
Verwendung von vorher definierten Parametern betrieben wird. 
Dabei handelt es sich um eine Minimalkonf iguration, die eine 
Funktionalitat des Steuergerates noch gewahrleistet, aber eine 

eparatur in einer Werkstatt umgehend erforderlich macht . Der 
RESET bleibt so lange aktiv, bis das Gerat aus- und wieder 
15 eingeschaltet wird (sogenannter Power-On RESET) . 

Da der Zahler unbeeinf lusst kontinuierlich lauft, kann das Er- 
reichen des Uberlaufes und das damit zwingend verbundene RESET 
des Steuergerates nur verhindert werden, wenn der Zahler re- 
gelmaftig zuruckgesetzt wird. Da dies nur vom Serviceprogramm 
im ebenfalls nicht manipulierbaren ROM-Bereich B ausgelost 
werden kann, muss wiederum das Serviceprogramm regelmaflig vom 
^^Steuerprogramm aufgerufen werden. Daher kann das Steuerpro- 
W9W Iama ' welches den 'CALL'-Befehl enthalten muss, im relativ 
2^^ungeschiitzten Flash-Bereich D gespeichert sein. Denn auch 

durch Manipulationen kann folglich mit diesem Verfahren eine 
Uberprufung des Speichers des Mikrocontrollers nicht verhin- 
dert werden. Nur bei nicht manipulierten Speichern des Mikro- 
controllers ist eine dauerhafte Funktionalitat des Steuergera- 
30 tes gewahrleistet. 

Das erfindungsgemafle Verfahren bietet gegenuber bekannten Ver- 
fahren einige Vorteile. So entstehen nur sehr geringe oder 
■ keine Mehrkosten far den Controller-Chip, da nur ein minimaler 
35 Mehraufwand notwendig ist. Weiterhin kann das Uberprtifungspro- 
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gramm individuell an Anf orderungen oder Bedurfnisse angepasst 
werden, da diese Codesequenz nicht in der ROM-Maske enthalten 
ist. Somit kann es auch kundenspezif isch gehalten werden. Dar- 
uber hinaus kann der Controllerhersteller diese Funktionalitat 
auch anderen Kunden anbieten. 



Es kann fur Systeme ohne Controller-internes Flash das gleiche 
Verfahren angewendet werden. Dieses Verfahren behebt somit den 
Nachteil des geringeren Schutzes fur Systeme mit internem und 
externem Flash und ist in Kombination mit einer Paarung von 
Bauelementen ein sehr sicheres Verfahren. Obwohl der wiederbe- 
schreibbare Speicherbereich beim obigen Ausf uhrungsbeispiel 

nnerhalb des Mikrocontrollers liegt, kann er selbstverstand- 
lich auch auflerhalb liegen. 



15 
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ROBERT BOSCH GMBH, 704 42 STUTTGART 
PATENTANS PRUCHE 

1. Verfahren zur Steuerung eines Mikrocontrollers (1) in einem 
Steuergerat in einem Kraf tf ahrzeug mit einem Rechnerkern (2), 
wenigstens einem Nur-Lese-Speicherbereich (3) und wenigstens 
einem wiederbeschreibbaren Speicherbereich (5), wobei in dem 
wiederbeschreibbaren Speicherbereich (5) zumindest ein Steuer- 
programm gespeichert ist, welches zur Verarbeitung durch den 
Rechnerkern (2) vorgesehen ist, umfassend mindestens die 
chritte, 

Speicherung eines Uberpruf ungsprogramms in einem einmal be- 
schreibbaren Speicherbereich (4) des wiederbeschreibbaren 
Speicherbereiches (5), 

- Speicherung eines Serviceprogramms im Nur-Lese- 
Speicherbereich (3) , 

- Aufruf des Serviceprogramms durch das Steuerprogramm in re- 
20 gelmaftigen Abstanden, 

- Aufruf des Uberpruf ungsprogramms durch das Serviceprogramm, 

- Riicksetzen eines Zahlers durch das Serviceprogramm bei Auf- 
. ruf durch das Steuerprogramm, 

dm Uberprtifen wenigstens eines Teiles des wiederbeschreibbaren 
2 ^^Peicherbereiches durch das Uberpruf ungsprogramm, 

- Auslosen eines RESET durch das Uberpruf ungsprogramm bei Ma- 
nipulation des uberpriiften Speicherbereiches oder durch den 
Zahler bei Uberlauf des Zahlers. 



2. Verfahren nach Anspruch 1, dadurch gekennzeichnet , dass das 
Steuerprogramm in einem internen Speicherbereich des Mikro- 
controllers (1) gespeichert wird. 
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3. Verfahren nach Anspruch 1, daclurch gekennzeichnet, dass das 
Steuerprogramm in einem externen Speicherbereich aufierhalb des 
Mikrocontrollers (1) gespeichert wird. 

5 4. Verfahren nach Anspruch 1, dadurch gekennzeichnet , dass das 
Oberprufungsprogramm in einem internen Speicherbereich des 
Mikrocontrollers (1) gespeichert wird. 



5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass das 
10 Oberprufungsprogramm in einem internen Speicherbereich des 

Mikrocontrollers (1) gespeichert wird, welcher durch ein Pass- 
— wort geschutzt ist. 

6- Steuergerat fur ein Kraf tf ahrzeug mit einem Mikrocontroller 
15 (1) mit einem Rechnerkern (2), wenigstens einem Nur-Lese- 

Speicherbereich (3) und wenigstens einem wiederbeschreibbaren 
Speicherbereich (5) ; wobei in dem wiederbeschreibbaren Spei- 
cherbereich (5) zumindest ein Steuerprogramm gespeichert ist, 
welches zur Verarbeitung durch den Rechnerkern (2) vorgesehen 
20 ist, wobei 

- ein einmal beschreibbarer Speicherbereich (4) des wiederbe- 
schreibbaren Speicherbereiches (5) zur Speicherung eines Ober- 
prufungsprogramms vorgesehen ist, 

m der Nur-Lese-Speicherbereich (3) zur Speicherung eines Ser- 

2^^viceprogramms vorgesehen ist, 

- der Rechnerkern (2) das Serviceprogramm nach Aufruf durch 
das Steuerprogramm in regelmaiiigen Abstanden verarbeitet, ' 

- der Rechnerkern (2) das Oberprufungsprogramm nach Aufruf 
durch das Serviceprogramm verarbeitet, 

30 - ein Zahler vorgesehen ist, der durch das Serviceprogramm bei 
Aufruf durch das Steuerprogramm rucksetzbar ist, 

- wenigstens ein Teil des wiederbeschreibbaren Speicherberei- 
ches (5) durch das Oberprufungsprogramm uberprufbar ist, 
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- ein RESET durch das OberpriAf ungsprograinm bei Manipulation 
des uberpruften Speicherbereiches oder bei Oberlauf des Zah- 
lers auslosbar ist. 

7. Steuergerat nach Anspruch 6, dadurch gekennzeichnet , dass 
der einmal beschreibbare Speicherbereich (4) innerhalb des 
Mikrocontrollers (1) angeordnet ist. 

8. Steuergerat nach Anspruch 6, dadurch gekennzeichnet , dass 
der wiederbeschreibbare Speicherbereich (5) als Flash-Speicher 
ausgebildet ist. 




# 
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ROBERT BOSCH GMBH, 70442 STUTTGART 

Verfahren zur sicheren Uberprufung eines Speicherbereiches ei- 
nes Mikrocontrollers in einem Steuergerat und Steuergerat mit 
5 einem geschutzten Mikrocontroller 

ZUSAMMENFASSUNG 

Die Erfindung betrifft ein Verfahren zur Steuerung eines Mik- 
10 rocontrollers in einem Steuergerat in einem Kraf tf ahrzeug mit 
einem Rechnerkern, wenigstens einem Nur-Lese-Speicherbereich 

•und wenigstens einem wiederbeschreibbaren Speicherbereich, wo- 
ei in dem wiederbeschreibbaren Speicherbereich zumindest ein 
oteuerprogramm gespeichert ist, welches zur Verarbeitung durch 
15 den Rechnerkern vorgesehen ist. Urn ein Verfahren zur Steuerung 
eines Mikrocontrollers in einem Steuergerat zu schaffen, wel- 
ches die Uberprufung von Speichern des Mikrocontrollern besser 
gegen unerlaubte Eingriffe schutzt, wird vorgeschlagen, ein U- 
berpriifungsprogramm in einem einmal beschreibbaren Speicherbe- 
20 reich des wiederbeschreibbaren Speicherbereiches und ein Ser- 
viceprogramms im Nur-Lese-Speicherbereich zu speichern. Das U- 
berprufungsprogramm wird mittels des Serviceprogramms durch 
das Steuerprogramm in regelmaliigen Abstanden aufgerufen und u- 

•jperpruft wenigstens einen Teil des wiederbeschreibbaren Spei- 
cherbereiches- Das Serviceprogramm setzt dartiber hinaus einen 
Zahler zuruck. Das Oberpriif ungsprogramm bei erkannter Manipu- 
lation des uberpruften Speicherbereiches oder der Zahler bei 
Oberlauf des Zahlers losen einen RESET des Steuergerates aus. 
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